Исследователи Bitdefender использовали недавно анонсированную первую в отрасли технологию обнаружения аномалий приложений, включенную в Bitdefender Mobile Security, чтобы обнаружить скрытую кампанию вредоносного ПО, незамеченную на мобильных устройствах по всему миру в течение более чем шести месяцев.
Исследователи Bitdefender считают, что это мобильное вредоносное ПО процветало без помех в течение длительного периода времени в отсутствие возможностей обнаружения на основе поведенческих факторов в Android.
Анализ показал, что кампания направлена на агрессивное распространение рекламного ПО на устройствах Android с целью получения прибыли. Однако участники угрозы могут легко изменить тактику и перенаправить пользователей на другие типы вредоносного ПО, например, банковские троянцы для кражи учетных данных и финансовой информации или программы с выкупом. На сегодняшний день Bitdefender обнаружил 60 000 совершенно разных образцов (уникальных приложений), содержащих это рекламное ПО, и мы подозреваем, что в природе их гораздо больше.
Вредоносная программа существует как минимум с октября 2022 года и примечательна тем, что без новой технологии аномалий приложений она, скорее всего, осталась бы незамеченной. Из-за большого количества обнаруженных уникальных образцов, операция, скорее всего, полностью автоматизирована.
Распространение по всему миру тем более впечатляет, что его нет ни в одном официальном магазине. Однако операторам вредоносной программы все равно нужно убедить пользователей загрузить и установить сторонние приложения, поэтому они замаскировали свою угрозу под очень востребованные товары, которые невозможно найти в официальных магазинах, даже если они были легальными. В других ситуациях приложения просто имитировали настоящие, опубликованные в Play Store.
Вот некоторые из типов приложений, имитируемых вредоносными программами:
- Взломанные игры
- Игры с разблокированными функциями
- Бесплатный VPN
- Поддельные видео
- Netflix
- Поддельные учебники
- YouTube/TikTok без рекламы
- Взломанные служебные программы: погода, просмотрщики pdf и т.д.
- Поддельные программы безопасности
Распространение органично, поскольку вредоносная программа появляется при поиске подобных приложений, модов, кряков и т.д. На самом деле модифицированные приложения являются горячим товаром, и существуют веб-сайты, полностью посвященные предложению таких пакетов. Обычно модифицированные приложения представляют собой модифицированные оригинальные приложения с разблокированной полной функциональностью или с изменениями в исходном программировании.
Например, когда пользователь открывает веб-сайт из поиска Google по запросу "модифицированное приложение", он перенаправляется на случайную рекламную страницу. Иногда эта страница является страницей загрузки вредоносного ПО, замаскированного под легальную загрузку мода, который искал пользователь.
Indicators of Compromise
Domains
- beahor.com
- ehojam.com
- gogomeza.com
- kenudo.net
- Konkfan.com
MD5
- 1313fa114436229856797384230a0a73
- 3050f562374b275f843f6eb892d2f298
- 319421d550ff761aa4ac2639b3985377
- 400568ea7406f4d3704fb4c02682313a
- 4376ecd8add3622c2793239f658aa5e6
- 4df8c05d0e323c5aeeb18c61e3c782c6
- 53406cc4b3ced24152860a7984d96dbf
- 53f3fbd3a816f556330d7a17bf27cd0d
- 60bae94bfa0c79c19fcc19bc5a9fb8e6
- 7a1efcc701f10d2eef08a4f4bcf16fc2
- 7e3fa8b054346c013a8148d76be81a48
- 84aed79a10dd21e0996e08ba0c206965
- 8ec0432424da16eb8053453f0ce0731a
- 8fcc39166b1a8c29fba3f87307967718
- a8b18a67256618cf9dcd433a04448a5b
- b7fb1fa1738c5048cecbe73086823843
- c1d312818d07cddb76d2bece7ad43908
- d6e33f7b6ff314e2b61f54434a77e8f0
- db9f921ccecdef6cd8fb7f5cb0a779d2
- ef83a9b6ffe20b3abdba08a6517b08f0
- fd37ff8ded80e9fe07004e201422a129
